(一)机房或运行场地建设情况;
(二)机房或运行场地管理规章制度及执行情况;
(三)机房或运行场地防灾害情况;
(四)机房或运行场地供电、空调、监控系统情况;
(五)系统与互联网及其他网络的隔离措施和访问控制情况;
(六)系统的防侵入、防破坏、防病毒以及网络传输情况;
(七)其他应监督检查事项。
第十四条 内审部门对计算机信息系统的使用和维护情况主要监督检查以下内容:
(一)使用和维护规章制度的建立健全情况;
(二)操作人员的岗位分工和授权管理情况;
(三)操作人员口令、密码的管理和使用情况;
(四)对重要岗位操作人员的审查、考核、教育、培训情况和离岗、离职审查管理情况;
(五)硬件、软件、网络等设施的维护管理情况;
(六)硬件、软件、网络等设施的变更管理情况;
(七)系统废止管理情况;
(八)其他应监督检查事项。
第十五条 内审部门对计算机信息系统的内部控制情况主要监督检查以下内容:
(一)系统关键设备安全控制情况;
(二)关键岗位制约分离情况;
(三)密钥、密码控制情况;
(四)程序、数据备份及灾难防范和恢复计划情况;
(五)系统运行记录和保留审计线索情况;
(六)数据输入控制情况;
(七)数据处理过程和数据文件控制情况;
(八)数据输出控制情况;
(九)其他应监督检查事项。
第十六条 内审部门开展计算机信息系统监督检查工作时,可以通过系统备用机或另行装机形成模拟系统,利用计算机辅助审计技术或其他必要的手段,对系统进行符合性测试和实质性测试。
第十七条 内审部门对计算机信息系统实施监督检查工作后,应当对系统的整体功能、风险状况和内部控制机制作出评价;对监督检查中发现的违规问题和风险隐患,提出纠正和整改意见;对造成重大责任事故和经济损失的单位主要负责人和直接责任人,提出处理建议。
第十八条 内审部门可以根据本规定,制定计算机信息系统监督检查的操作规程。
